Automatische Angriffsunterbrechung in Microsoft Defender for Business

Ein von Menschen betriebener Angriff ist ein aktiver Angriff von Cyberkriminellen, die eine organization infiltrieren, ihre Berechtigungen erhöhen, im Netzwerk navigieren und Ransomware bereitstellen oder Informationen stehlen. Diese Arten von Angriffen können für den Geschäftsbetrieb katastrophal sein, in der Regel schwierig zu behandeln sein und manchmal auch nach der ersten Begegnung weiterhin den Geschäftsbetrieb gefährden. Weitere Informationen finden Sie unter Von Menschen betriebene Ransomware-Angriffe.

Zum Schutz vor von Menschen betriebenen oder anderen erweiterten Angriffen Microsoft Defender XDR im November 2022 eine automatische Angriffsunterbrechung für Unternehmenskunden hinzugefügt. Jetzt sind diese Funktionen in Defender für Unternehmen verfügbar! In diesem Artikel wird beschrieben, wie die automatische Angriffsunterbrechung funktioniert, wie Sie Details zu einem Angriff anzeigen und wie Sie diese Funktionen abrufen.

Funktionsweise der automatischen Angriffsunterbrechung

Automatische Angriffsunterbrechungen sind für Folgendes konzipiert:

  • Fortgeschrittene Angriffe eindämmen, die gerade ausgeführt werden;
  • Begrenzen Sie die Auswirkungen und den Fortschritt von Angriffen auf Ihre Unternehmensressourcen (z. B. Geräte); Und
  • Geben Sie Ihrem IT-/Sicherheitsteam mehr Zeit, um einen Angriff vollständig zu beheben.

Automatische Angriffsunterbrechungen nutzen Erkenntnisse von Microsoft-Sicherheitsexperten und erweiterte KI-Modelle, um der Komplexität erweiterter Angriffe entgegenzuwirken. Es schränkt den Fortschritt eines Bedrohungsakteurs frühzeitig ein und reduziert die Gesamtwirkung eines Angriffs erheblich, von den damit verbundenen Kosten bis hin zu Produktivitätsverlusten. Einige Beispiele finden Sie im Microsoft-Sicherheitsblog.

Bei automatischer Angriffsunterbrechung werden sofort Schritte unternommen, um das betroffene Gerät und die Benutzerkonten auf dem Gerät einzudämmen, sobald ein von Menschen betriebener Angriff auf einem Gerät erkannt wird. Ein Incident wird im Microsoft Defender-Portal (https://security.microsoft.com) erstellt. Dort kann Ihr IT-/Sicherheitsteam Details zum Risiko und zur Eindämmung status von kompromittierten Ressourcen während und nach dem Prozess anzeigen. Die Seite "Incident" enthält Details zum Angriff und aktuellen status betroffener Ressourcen.

Zu den automatisierten Reaktionsaktionen gehören:

  • Enthalten eines Geräts durch Blockieren der eingehenden/ausgehenden Kommunikation
  • Enthalten eines Benutzerkontos durch Trennen der aktuellen Benutzerverbindungen auf Geräteebene

Wichtig

  • Um Informationen zu einem erkannten erweiterten Angriff anzuzeigen, muss Ihnen die Rolle "Sicherheitsleseberechtigter", "Sicherheitsadministrator" oder "Globaler Administrator" zugewiesen sein.
  • Um Abhilfemaßnahmen auszuführen, ein eigenständiges Gerät/benutzer freizugeben oder ein Benutzerkonto erneut zu aktivieren, muss Ihnen entweder die Rolle Sicherheitsadministrator oder globaler Administrator zugewiesen sein.
  • Weitere Informationen finden Sie unter Sicherheitsrollen und Berechtigungen in Defender for Business.

Anzeigen von Details zu einem Angriff im Microsoft Defender-Portal

  1. Navigieren Sie im Microsoft Defender-Portal zu Incidents.

  2. Wählen Sie einen Incident aus, der mit Attack Disruption gekennzeichnet ist.

  3. Überprüfen Sie das Incidentdiagramm, mit dem Sie die gesamte Angriffsgeschichte abrufen und die Auswirkungen von Angriffsunterbrechungen und status bewerten können.

  4. Wenn Sie bereit sind, ein eigenständiges Gerät oder Benutzerkonto freizugeben oder ein Benutzerkonto erneut zu aktivieren, führen Sie einen der folgenden Schritte aus:

    • Um ein eigenständiges Gerät freizugeben, wählen Sie das Gerät und dann Release from containment (Aus Einschluss freigeben) aus.
    • Um einen eigenständigen Benutzer freizugeben, wählen Sie das Benutzerkonto und dann im Seitenbereich Rückgängig aus.

Unterbrochene Vorfälle umfassen ein Tag für Attack Disruption und den spezifischen Bedrohungstyp (z. B. Ransomware). Wenn Ihr IT-/Sicherheitsteam E-Mail-Benachrichtigungen zu Vorfällen erhält, werden diese Tags auch in den E-Mails angezeigt.

Wenn ein Incident unterbrochen wird, wird unter dem Incidenttitel hervorgehobener Text angezeigt. Eigenständige Geräte oder Benutzerkonten werden mit einer Bezeichnung aufgeführt, die ihre status angibt.

Nachverfolgen von Angriffsunterbrechungsaktionen im Info-Center

Das Info-Center vereint alle Wartungs- und Reaktionsaktionen, unabhängig davon, ob diese Aktionen automatisch oder manuell ausgeführt wurden. Sie können alle Aktionen für automatische Angriffsunterbrechungen im Info-Center anzeigen. Und nachdem Ihr IT-/Sicherheitsteam das Risiko verringert und die Untersuchung eines Incidents abgeschlossen hat, kann es enthaltene Ressourcen freigeben.

  1. Navigieren Sie im Microsoft Defender-Portal zu Aktionen & Übermittlungen>Info-Center.

  2. Wählen Sie die Registerkarte Verlauf aus.

  3. Wählen Sie eine Aktion aus, z . B. Benutzer enthalten oder Gerät enthalten, und wählen Sie dann Rückgängig aus.

Weitere Informationen finden Sie unter Überprüfen von Wartungsaktionen im Info-Center.

So erhalten Sie eine automatische Angriffsunterbrechung

Automatische Angriffsunterbrechung ist in Defender for Business integriert. Sie müssen diese Funktionen nicht explizit aktivieren. Es ist wichtig, alle Geräte Ihrer organization (Computer, Smartphones und Tablets) in Defender for Business zu integrieren, damit sie so schnell wie möglich geschützt werden.

Registrieren Sie sich außerdem, um Vorschaufeatures zu erhalten, damit Sie die neuesten und besten Funktionen erhalten, sobald sie verfügbar sind.